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요 약 


실시간 겪 증 은 명 세 와 요 구 사 항 과 의 논리적 정확성 뿐만 아니라 시간적 정 확 성 을 확 인 하 는 일 련 의 과 정 이 
다. 하지만 시 간 의 무 한 성에 의해 시스템 상 태 가 무한히 증 가 할 수 있는 상태 폭발 문 제 가 검 증 과 정 에서 
중요한 문 제 점 이 되고 있다. 본 논 문 에서는 형식 검 증 에 기 반 을 두며, 시 스 템 의 행위 측 면 을 시간 오 토 마 타 로 
기 술 한 시스템 모 델 이 11060 1004-08104105 로 표 현 된 시 스 템 의 특 성 에 만 족 하 는 지 의 여 부 를 통해 명 세 의 
완 전 성 을 확 인 하는 실시간 검증 기 법 을 기 술 한다. 이를 위해 초 기 상 태 의 논 리 값 에 초 점 을 두어 검 증 과 정 에 서 
필 요 로 하는 노 드 로 만 70040 078 마 1 를 구 성 하 여 노드 값 을 결 정 해 나가는 지 역 모 형 검사 기 법 에 대해 제안한 
다. 이 방 법 은 모 델 의 모든 상 태 를 조 사 하 지 않으므로 상태 폭발 문 제 를 최소화 시킬 수 있어 실시간 시스템 
검 증 에 효과적으로 적 용 이 가 능 하 다. 
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1. 서 론 


최 근 에 비 디 오 나 사운드 같은 연 속 적 인 미 디 어 가 
컴퓨터 네 트 워 크 에 적 용 되기 시 작 하 면서 미 디 어 에 
른 시간적 특 성 을 보 장 할 수 있는 네 트 워 크 와 프로 
토콜 등 이 요 구 되고 이를 만 족 시킬 수 있는 실시간 
시 스 템 들이 활발히 개 발 되 고 있다. 실시간 시 스 템 은 


기 존 의 컴퓨터 시 스 템 과 달리 시스템 동 작 의 정확성 


본 연 구 는 부 경 대 학교 기성회 연 구 지 원 에 의해 수 행 되 었음. 
" 부 경 대 학 교 정 보 통 신 공 학과 

"" 한 국 전 파 기 지 국 관 리 (주) 연 구 소 장 

부 경 대 학교 정 보 통 신 공 학과 조교수 


+ 


이 논리적 정확성 뿐만 아니라 시 간 의 경과, 지연, 
제약, 재설정 등과 같은 시 간 의 정 확 성 에도 좌 우 되 는 
시 스 템 을 말한다. 즉 , 작 업 의 논리적 결 과 뿐만 아니 
라 그 결 과 가 생 성 된 시 간 에 따라 정 확 성 이 결 정 되는 
시 스 템 으로 물 리 적 인 주 변 환 경 에서 입 력 을 받아 제 
어 작 업 을 수 행 하여 출 력 을 내는 과 정 에 적 시 성 이 
부 여 되기 때문에 데 드 라 인 이라는 어떤 시간 한 계 를 
넘지 않고 논 리 적 으로 정확한 출 력 이 보 장 되어야 예 
기치 않은 결 과 를 피할 수 있게 된다. 

그런데 실시간 시 스 템 의 개 발 과 정 에서는 실제로 
구 현 하 기 전에 명 세 가 요 구 사 항 의 시간 제약 조 건 을 
만 족 하 고 높은 신 뢰 성 을 보 장 할 수 있 는 지 에 대한 
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확 인 이 필 요 하다. 이와 같은 일 련 의 과 정 을 실시간 
검 중 이 라 하고, 대표적인 검증 기 법 으로 시뮬레이션 
과 형식 검증 등 이 있다. 먼저 실시간 시 뮬 레 이 션 은 
실제 시 스 템 의 기 능 을 입 력 과 시 간 에 대한 함 수 로 
수 학 적 으로 모 델 링 하 고, 이를 프 로 그 램 으 로 구 현 하 
여 실 행 시킨 후 그 결 과 를 분 석 하 는 과 정 이다. 이러 
한 실시간 시뮬레이션 기 법 은 시간적 특 성 에 따른 
변 화 에 대한 요 구 사 항 을 파 악 하기 쉽기 때문에 많은 
개 발 자 들이 사 용 하고 있으나, 검증 시 간 이 오래 걸리 
고 결 과 가 복 잡 하여 분 석 이 용 이 하지 않다는 단 점 이 
있다. 

반 면 에 실시간 형식 검증 기 법 은 시 스 템 의 행위 
측 면 을 1'&(1110060 & 나 0260), 11Ｌ16(110160 Ｌ8606160 
그 78051000 55161) 등 의 시스템 명세 언 어 (6575160 
으 06011168000 Ｌ8084886) 로 기 술 한 시스템 모 델 이 
고 11.(110160 (20000 바 83000 11766 Ｌ0810) 이 나 10060 
004-08104106 와 같은 임 의 의 특 성 을 표현한 시스템 
특성 언 어 (8 ㅠ 9[60 ㅁ 20067 Ｌ ㄴ 8 ㅁ 84826) 로 기 술 된 수 
학 적 인 논 리 식 을 만 족 하 는 지 의 여 부 를 통해 시스템 
명 세 의 완 전 성 을 확 인 한 다. 이는 시 스 템 의 시 간 에 따 
른 행위 측 면 만 을 검 사 하 는 제한적 범 위 를 가 지 지 만 , 
시뮬레이션 기 법 에 비해 검 증 시 간 이 단 축 되고 결과 
분 석 이 용 이 하 며 시 스 템 의 특 성 을 매우 간 결 하고 명 
확 하 게 표 현 하고 자 동 화 가 가 능 하 다는 장 점 이 있다. 

대표적인 형식 검증 기 법 으로 통신 프 로 토 콜 이나 
하드웨어 설 계 시 검증 기 법 으 로 활 용 되어 왔던 모형 
검 사 를 들 수 있 는 데 [1], 이는 검증 결 과 의 유도 과정 
에 따라 전 역 모 형 검 사와 지 역 모 형 검 사 로 나 될 수 있 
다. 전 역 모 형 검 사는 검 증 시 시스템 명세 언 어 의 모든 
상 태 와 시스템 특성 언 어 의 모든 변 수 의 짝 으로 이뤄 
진 노 드 를 모두 탐 색 함 으로써 검증 결 과 를 유 도 해낸 
다. 하지만 실시간 시 스 템 에 서는 시 간 의 무 한 성 으로 
인해 시스템 내의 상 태 가 무한히 증 가 할 수 있으므로 
컴 퓨 터 를 통한 검증 과 정 에 서 메모리 초과 등과 같은 
문 제 가 초 래 될 수 있다. 따라서 검 중시 불필요한 노 
드 의 탐 색 을 억 제 하 여 원하는 명 제 의 완전성 여 부 를 
확 인 하 는 지 역 모 형 검 사가 요 구 된다. 

따라서 본 논 문 에서는 실시간 시 스 템 의 검 중 을 위 
해 시스템 모 델 의 필요한 상 태 만 을 탐 색 하여 컴퓨터 
자 원 의 절 감 과 검증 시 간 을 단 축 시킬 수 있는 지 역 모 
형 검사 기 법 을 제 안 한 다. 이를 위해 본 논 문 의 2 장 에 
서는 비 실 시간 시 스 템 의 논리적 정확성 검 중 을 위한 


지 역 모 형 검사 기 법 에 대해 기 술 하고, 3 장 에서는 논 
리 적 정확성 뿐만 아니라 시간적 정 확 성 까 지 확인할 
수 있는 실시간 지 역 모 형 검사 기 법 에 대해 제 안 한 다. 
마 지 막 으로 4 장 에서는 결 과 와 향후 연 구 사 항 에 대해 


기 술 한다. 


2. 비 실 시간 시 스 템 의 검증 


본 장 에서는 비 실 시간 검 증 올 위해 시 스 템 의 행위 
와 특 성 을 표현할 수 있는 정 형 언 어 인 Ｌ1'6(1.906160 
778081000 557866120) 와 4.(540081 104-03100108) 에 
대해 정 의 한 다. 또 , 검 중시 필요한 시스템 모 델 의 상 
태 와 논 리 변 수 만을 탐 색 하는 지 역 모 형 검사 기 법 인 
×01076 알 고 리 즘 에 대해 기 술 한다. 


2.1 ㄴ 366160 1「81059111017 55167 


시 스 템 의 행 위 를 기 술 하는 시스템 명세 언 어 로 사 
용 되는 [16 는 비 실 시간 지 역 모 형 검 사 를 위한 시스 
템 모 델 을 제 공 하게 되며, 다 음 과 같이 4-6002016 로 써 
구 성 된 다 [23]. 


7=<5, 56, 400, 27> 

@: 상 태 의 집합 

90: 시작 상태, 50 ㄷ & 

4: 행 위 의 집합 

7>: 천 이 의 집합, 77 으 5 ×2'×%, 7 으 7, 2 =<5 40 5'> 


1.18 를 7 이 라 하면 6 는 시 스 템 이 가질 수 있는 
상 태 들의 집 합 을 나타내며, 는 1Ｌ.15 가 시 작 되는 상 
태 를 나타낸다. 행위 집합 4<4 는 한 상 태 에 서 다른 
상 태 로 천 이 를 유 발 시킬 수 있는 행 위 들 의 집 합 으로 
써 입 력 행위, 출력 행위 혹은 두 행 위 가 공 존 하 는 입 / 
출력 쌍이 40 의 원 소 가 될 수 있다. 천 이 집합 7> 은 
특정 천이 함 수 를 사 용 하여 상 태 를 바꾸는 요 인 이 
되는데 위 의 정 의 식 에 서 처 럼 천이 함 수 는 상 태 와 심 
볼 그리고 다음 상 태 의 쌍 으로 구 성 된 다. 


2.2 10001 [04-08104145 


형식 논 리 (40081 10910) 는 어떤 시 스 템 의 각 상태 
에서 참 (\06) 을 찾아가는 형 태 를 나타내는 “<> 
(00891611607)" 와 "[] (6460685169)” 의 두가지 연 산 자 를 
사 용 하 여 시 스 템 의 특 성 을 기 술 하 는 논 리 식 이다. 그 


리고 시제 논 리 는 형식 논 리 의 두가지 연 산 자 를 시제 
관 점 에서 바라본 것으로 두 연 산 자 는 각각 “<> 
(67601048]119)” 와 “[] (31\278)" 로 해 석 되 어 특 성 을 기 
술 할 수 있다. 또한 7 ㅠ 4-08104145 는 01101141284007 
00612【00(0704 또는 // ) 인 61760666[ 11860 00101( / ) 와 
16886 160 0010 /: ) 를 사 용 하여 주어진 시스템 상태 
의 참 과 거짓 여 부 를 확 인 하 는 논리 계 산 법 으로, 
8「68666【 11×%60 001 마 는 모든 상 태 를 초 기 에 참 으로 
설 정 하 여 거 짓 을 찾 아 가 게 되고 반대로 1686 11%60 
001 마 는 모든 상 태 를 초 기 에 거 짓 으로 설 정 하 여 참을 
찾 아 간 다. 

40081 2004-08104108 는 형 식 논 리의 변 형 인 시제 논 
리 를 사 용 하여 시 스 템 의 특 성 을 기 술 하고 1×%60 001 
계 산 법 을 사 용 하여 참 과 거 짓 을 찾아가는 논 리 로써 
비 실 시간 지 역 모 형 검 사 에서 시스템 특 성 을 나타내 
는 논 리 식 으로 사 용 된다. 일 반 화 된 10081 704-08104145 
의 논 리 식 은 아래와 같 다 [4.51. 


@:=2721712101^ ㅅ 0921 @077021104@ | <<>@ | 
2~20|@20| 


“0@” 는 시 스 템 의 특 성 을 나타내는 논 리 식 으로 참 
과 거 짓 의 값 을 가진다. 극 소 명제 “@@” 와 "는 항상 
참 과 거 짓 임을 각각 나타내며, “2" 는 임 의 의 상 수 적 
인 명 제 를 나타낸다. 논 리 연산자 “ ㅅ "” 와 “" 는 각각 
논 리 곱 과 논 리 합 을 가리키고, 행 위 연산자 “[/|" 는 
0606891[ 를 나타내는 연 산 자 로써 행위 가 반드시 
발생할 경 우 에 참 이 되고, “</>"” 는 005510116* 를 나 
타 내는 연 산 자 로써 어떠한 행위 도 발 생 하지 않을 
경 우 에 거 짓 이 된다. “1 ” 는 67680[665[ 81×60 ㅁ 0017[ 를 
나타내는 연 산 자 로 써 “) "에 속한 모든 명 제 적 변수 
의 초 기 값 은 참 으로 설 정 되어 거 짓 인 상 태 를 찾게 
되고, “/』; “는 1685 1×%60 001 까 를 나타내는 연 산 자 로 
써 “//” 에 속한 모든 명 제 적 변 수 의 초 기 값 을 거 짓 으 
로 설 정 하 여 참인 상 태 를 찾게 된다. 


2.3 비 실 시간 지 역 모 형 검사 
2.3.1 × ㅁ 01076 알고리즘 
지 역 모 형 검 사 기 법 인 8% ㅁ 01016 알 고 리 즘 [9] 은 Ｌ18 
모 델 의 초 기 상 태 의 논 리 값 에 초 점 을 두고, *[, 로 기 
술 된 해당 논리 변 수 에 대해 75 모 델 의 각 상 태 가 
만 족 하는지를 확인해 나가는 과 정 이다. 이 때, 탐색 
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과 정 과 결과 출 력 을 위해 20040 0683201 이 하 206) 
가 사용되고, 노 드 에 관한 정 보 를 가지는 참조 변수 
2022, (/ 가 사 용 된다. 각 변 수 에 대한 설 명 은 아래 
에 기 술 하 였다. 

(는 \[, 의 논리 변 수 와 Ｌ75 모 델 의 상 태 로 이뤄 
진 노 드 < 변 수, 상 태 > 와 각 노 드 를 연 결 하는 에 지 로 
구 성 된 다 . 먼저 노 드 는 (그럼 1. 3) 에 서 와 같이 변수 
명과 상 태 명 을 가지고 있으며, 노 드 의 값 이 참 인 지 
거 짓 인 지를 나타내는 70/06 와 탐 색 되어야 할 노드 
의 개 수 를 표 시 하 는 (<000770/, 그리고 노 드 의 값 이 
정 해 졌 음 을 알리는 0076 을 가진다. 여기서 26 노드 
의 좌측 상 단 은 ()0147767 를 , 우측 상 단 은 \「0/1/6 를 그 
리고 색깔 유 무 는 0006 의 값 을 가리킨다. 또한 노드 
는 인 접 하 는 후속 노 드 와 의 논리적 상 관 관 계 에 따라 
“2 ” 와 “<>"” 는 ㅜ -0006 라 하고 “^"” 와 "[]" 는 ㅅ 
-70006 라 한다. 에 지 는 각 노 드 의 종 속 관 계 와 논리적 
상 관 관 계 를 나타내는데, 만약 논 리 식 이 ※0=※%1^×2 
인 경우 (그림 1. 6) 와 같이 ※; 는 두 개 의 후속 노드 
※×] 와 ※; 를 가지고 논 리 연 산자 “ ㅅ "” 의 관 계 를 가지게 
된다. 


10 00140067 00680: 14706 
이 이이 78061680: 0076 


변 수 명 상 태 명 
(2) 060) 


그림 1. 『6 노 드 와 에 지 의 구성 


지 역 모 형 검 사 에 서 는 차례로 노 드 가 생 성 되 면서 
(를 구 성 하기 때문에 하 나 의 노 드 가 생 성 될 때 마 다 
\02/06 와 (2080170/ 의 값 을 초 기 화 시켜야 한다. 0716 
의 초기화 규 칙 은 시스템 모델 7/. 과 (의 1%×60 00104 
계 산 법 에 따라 74 블 록 (@「68668 11<60 0011 。 / ”) 
에 속한 노 드 인 경우 ㅁ 06 로 770/1 블 록 (1686【( 11%60 
00116 “/。 ㆍ ”) 에 속한 노 드 일 경 우 에 는 [3186 로 값 을 설 
정한다. (7010770/ 의 초기화 규 칙 은 > - ㅁ 0006 인 경 우 에 
참인 후 속 노 드 의 개 수 로, ^- ㅁ 006 인 경 우 에는 거짓 
인 후 속 노 드 의 개 수 로 초 기 화 시킨다. -10006 의 
(2000700/ 는 거 짓 인 후 속 노 드 가 나타날 때 마 다 감소 
하며, (60004[6/ 의 값 이 0 일 때 더 이상 참인 후 속 노드 
가 존 재 하지 않으므로 노 드 의 최 종 값 은 거 짓 이 된다. 
역 으 로 ㅅ - ㅁ 0 ㅁ 006 의 (7000)《0@/ 는 참인 후 속 노 드 가 나타 
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날 때 마 다 감 소 하며, (0801《6/ 의 값 이 0 일 때 더 이상 
짓 인 후 속 노 드 가 존 재 하 지 않으므로 노 드 의 최종 
값 은 참 이 된다. 

노드 값 의 결정 방 법 은 임 의 의 노드 [= <※,,8,> 가 
래 드가 없는 최종 노 드 일 경 우 에 ※×, 가 극 소 명 제 

또는 》 포 함 ) 이 면 , 상태 6, 가 극 소 명 제 를 만족 
{0 여 부 에 따라 값 이 결 정 된 다 . ※, 가 행위 연 
산자 “<0>” 이고 5, 가 행위 0 를 가지고 있지 않을 
경우, 『 의 값 은 "3166 가 되고, ※, 가 행위 연산자 “[0]" 
이고 인 접 하 는 후 속 노 드 의 값 이 모두 참 일 때 (는 참 
이 된다. 논리 연 산 자 (“\"”, “ ㅅ "”) 의 경우 후 속 하는 
노 드 의 값 에 따라 (의 값 이 결 정 된 다. 

참 조 변 수 <, 4, 22, (/ 는 [6 노 드 에 관한 정 보 를 
가지고 노드 생 성 시 사 용 된다. 먼저 "( 언 81160) 는 탐 
색 된 노 드 의 집 합 을 가지며, 주어진 노 드 가 탐 색 되었 
는 지 를 효 율 적 으로 결 정 하 기 위한 탐색 구 조 를 제공 
한다. /(10081660 ㅁ 006) 는 탐 색 되어질 노 드 의 집 합 을 
가지며, 스택 구 조 로 되 어 있 다. /1(0601060) 는 노 드 의 
값 은 결 정 되 었으나 전속 노 드 의 값 이 결 정 되지 않은 
노 드 를 가지게 된다. (/(070601060) 는 모든 후속 노드 
의 값 이 탐 색 되었으나, 아직 값 이 결 정 되지 않은 노 
드 를 가지며 스택 구 조 로 이뤄져 있다. 

이 상 과 같이 86 와 참 조 변 수 를 사용한 비 실 시간 
지 역 모 형 검 사 를 요 약 하 면 다 음 과 같다. 


반여 


) 초기 노드 <※0, 50> 를 가진 8 생성 
(02) 0 2, 724. (/ 변수 생성 및 2500706 알고리즘 
수행 


(3) <※0, 50> 의 값 이 결 정 되었으면 알고리즘 종료 


118 모델 /. 과 \/, 논리식 2 를 입 력 으로 하는 
02706 알 고 리 즘 은 다 음 과 같다. 


2006600676 /60270206(/, 2) 
800 <%6, 50> 6 ㅠ 300 27 
\]1116 2720 (77./. 
=118 타 (0) 
1 686 700 5000659015 0060  // / 는 최 종 노 드 
066106 00 [18 81046 
020076(7):= ㅋ 6006 
1006 17001 242 10 22 
227700695727 
6166 4-~00016(/) 4160 


16 7 11238 406※×010060 54006950【[5 타 60 ㅁ 
야 10056 타 6 06※ 504060655607 10 0 7 
101000406 1416 6086 110 
16 402 060 // 는 탐 색 되 지 않은 노드 
300 10 10 ㅠ 800 240 
이 66 4 00776(000) 10460 
1600 나 타 6 8146 0 10 10 
14 00076(0) 0060 
300 / 10 22 
727770065572 
2166 
10076 / 10020 2 106 (7 
6196 1600076 / [0020 4 // [는 값 이 결정 
1 20 15 600065 00 22600) 14460 
727700695(7(7) 


현 재 의 0076 인 노 드 의 값 을 가지고 전 속 노 드 의 값 


을 결 정 하 게 되는 707000557) 는 (; 를 입 력 으로 하며 


다 음 과 같은 절 차 로 수 행 된다. 


1000660066 /270069572(2?(7) 
\1116 /2) ㅜ 2 
160006 50106 【 17027 72 


[0 60200 \ 0 54 다 타 81 \- 800- ㄱ 00076(00) 
1600 다 46 78106 이 7 10 10 
1 0076(00) 04060 

300 100 16 72 


2700055(/ 는 이 빌 경우 혹은 82, 와 8,44/ 가 서 
로 다를 경 우 에 수 행 되 는데, 이는 후 속 노 드가 탐 색 되 
어 졌 지만 아직 값 을 결 정 하지 못한 노 드 의 값 을 결정 
할 때 사 용 된다. 


00006014176 /2700099(7/(/,(7) 
\40146 730.4/0075872, 
16000 ㅋ 6 10 10020 (/ 
탈 --00776(10) 14460 
007026040):=【006 
8300 100 (0 22 
1200066512) 


× ㅁ 01076 알 고 리 즘 에서는 어떤 노드 <※,, 5,> 가 


에서 추 출 될 때, 0016<×,, 58,> ㅋ ㅁ ㅁ 06 가 되거나 [/ 에 
위 치 하 게 된다. 또한 / 에 있는 모든 노 드 도 
727006590/ 에 의해 결 국 은 0016<×,, 5,>=0 ㅁ 46 가 된 
다. 따라서 의 모든 노 드 는 0076 이 되고, 정확하게 
계 산 된 최 종 값 을 가지게 된다. 


2.3.2 비 실 시간 지 역 모 형 검사 적용 예 


“항상 결 과 적 으로 를 만 족 한 다 " 라 는 명 제 를 "/, 의 
논 리 식 으로 표 현 하 면 다 음 과 같다. 


2 (4 2.2`10012) 시 [이도 


위 의 논 리 식 에 대해 (그럼 2) 의 시스템 모 델 의 만 
족 여 부 를 8×0 ㅁ 0016 알 고 리 즘 에 적 용 하 여 확 인 한 다. 


<- ㅠ - 그 80 
026 
그림 2. Ｌ7 요 로 기 술 된 시스템 모델 


먼저, 41, 논 리 식 을 1%60 001 ㅁ 계 산 법 에 따라 극 
소 명 제가 될 때 까지 2 ㅁ 8× 블 록 과 0 ㅁ 11 블 록 으로 분리 


한다. 


20 프 7720 저 0 = 기 2 | 22222 츠 7720( 초 = 3 ~ 츠 4 
0 = [ 이 ※0} 32 
4 = [이포 


극 소 명 제 로 분 리 된 각 변 수 와 1158 모 델 의 각 
상 태 의 짝 인 노 드 로 구성된 최종 (는 (그럼 3) 과 
같다. 


싫 시간 시스템 검 중 을 위한 지 역 모 형 검사 81 


(그림 3) 에 서 보 듯 이 초기 노드 <※0, 50> 의 값 이 
“…" 로 결 정 되었기 때문에 (그림 2) 의 시스템 모 델 은 
논 리 식 을 만 족 하 게 된다. 86 구 성 에 따른 설 명 은 
3.4.2 절 실시간 지 역 모 형 검사 적용 예 에 서 자세히 
다 루 기 로 한다. 


3. 실시간 시 스 템 의 검증 


본 장 에서는 실시간 시 스 템 의 검 중 을 위해 실시간 
적 행 위 와 특 성 을 표현할 수 있는 정 형 언 어 인 시간 
오 토 마 타 와 110160 1014-08104108 에 대해 정 의 한 다. 
또한 2 장 에서 기 술 된 지 역 모 형 검 사 를 실시간 검 중에 
적 용 하기 위해서, 26 에 시간 개 념 을 도 입 한 1106 
(60100 00040 67800) 에 대해 기 술 하고, 실시간 
지 역 모 형 검사 알 고 리 즘 을 제 안 한 다 . 


3.1 시간 오토마타 (11060 8410178[8) 


실 서간 시 스 템 의 시 간 에 따른 천 이 를 기 술 하는 시 
스템 명세 언 어 로 사 용 되 는 시간 오 토 마 타 는 시간 
값 을 가질 수 있는 변 수 인 클 럭 (0100) 과 오 토 마 타 의 
천 이 를 시 간 적 으로 제 약 할 수 있는 시 간 제 약 요 소 들 
의 조 합 을 통해 실 시 간 에 따른 천 이 를 표현할 수 있 
다 [61. 

시간 오토마타 47 는 다 음 과 같이 6-000!6 로 구성 
된다. 


22 = <, 56, 2, 20 22, > 

@: 상 태 의 집합 

50: 시작 상 태 의 집합 

2: 심 볼 의 집합 

^ 클 럭 의 집합 

7: 천 이 의 집합, 77 으 5×0(()×@× 2 ×9 2607 
4 으으] 0 트 2, 089, 60 60 4, 5"> 

: 최종 상 태 의 집합 


여기서 0(() 는 시 간 제 약 의 집 합 이 고, 2 는 클럭 


의 며 집 합 이 며 , 4 는 재 설 정 되 는 클럭 변 수 의 집 합 을 
나타내며, 시간 제 약 은 “0:= 7 | 7 ㅋ × | × 즈 2 | ~ 
| 이 ^ ㅅ 98 | 치 트 (0 0009568004" 인 형 태 를 지 넌 다. 


3.2 110060 104-08104145 


'.(111060 004-081048108) 는 2 장 에서 기 술 된 40021 
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04-08100108 의 기본 구문 외에 미 래 의 어떤 시 간 을 
명 시 할 수 있는 시간 제 약 (1006 000802106) 극소 명 
제 (3600240 1 ㅁ 00000510400) 와 시 간 을 시 스 템 의 특성 상 
요 구 되는 임 의 의 상 수 로 설정할 수 있는 시간 재설정 
연 산 자 를 가지고 있다. 또한 행 위 에 따른 후속 관계 
를 명시한 행위 연산자 “<:> 1 ㅁ 008591311[", 1] 4060005169” 
에 상 웅 하는 시 간 에 따른 후속 관 계 를 명시한 시 제 연 
산자 “ ㅋ 67606048157, ? 21\8258" 가 [:, 의 구 문 에 포 
함 되어 있어 이를 사 용 하여 시스템 모 델 의 시 간 에 
따른 특 성 을 표현할 수가 있다. 의 구 문 은 다 음 과 
같이 정 의 된 다 [7.8]. 


::=21271721| 01021 01011] 0 | </<>@ 
|122.0| /2.010, 
= 120 | 3 @ ㅇ 0 | @ | 


여기서 @( 는 시간적 특 성 을 기 술 하기 위해 추 가 된 
시간 구 문 으로써 “(," 는 시 간 제 약 을 가리키는 극소 
명 제 이고, “<" 는 * 라 는 클 럭 을 임 의 의 상 수 로 재설정 
하는 연 산 자 이며," ㅋ "” 과 “\” 시제 연 산 자 로써 각각 
미 래 의 어떤 시 간 과 미 래 의 모든 시 간 을 가리키는 
연 산 자 이다. 


3.3 {69100 20040 (61800 


비 실 시간 지 역 모 형 검 사 에서 사 용 되 었 던 (의 노 
드 를 해 당 하 는 시 간 에 따라 구 분 하여, < 변 수, 상태, 
시 간 > 의 노 드 들 로 이루어진 [10060 ㅁ 『70040【 (7820 
(1263) 를 구 성 함으로써 앞 장 에서 기 술 된 지 역 모형 
검 사 를 사 용 하여 실시간 시 스 템 을 쉽게 검 증 할 수 
있다. 하지만 불 행 하게도 시간 단 위 가 실 수 배로 증가 
하는 밀집 시 간 의 경 우 에 어떤 시 간 영 역 내에 존 재 하 
는 시 간 이 란 측 정 할 수 없이 무 한 하 게 됨으로써, 시 
스템 모 델 의 상태, 논 리 식 의 변수 그리고 시 간 의 짝 
으로 구 성 되는 7[( 의 노 드 도 시 간 의 무 한 성에 따라 
무한히 증 가 하게 된다. 이를 해 결 하 기 위해 본 논문 
에서는 시 간 을 어떤 공통된 영 역 으 로 묶 어 줌으로써 
노드 개 수 를 최소화 시키는 11['(; 를 이용한 지 역 모형 
검사 기 법 을 제 안 한 다. 

106 는 776 에 서 발 전 되었기 때문에 아 래 의 기본 
706 천이 규 칙 (1)~(4)) 과 전 제 조 건 ((6)@)) 을 만 족 한다. 


0) 1026 노 드 는 < 변 수, 상태, 시 간 값 > 인 3-01016 
로 구성 


< 고 92 >- ㅡ < 2> 
0) 논 리 연 산 자 에 의한 천 이 시 변 수 는 변 하 지 만 
상 태 와 시 간 은 불변 
<49.2>-5<'.52 > 
0) 행 위 연 산 자 에 의한 천 이 시 변 수 와 상 태 는 변 
하지만 시 간 은 불변 ( 단 , 6 에 서 6' 로 향하는 30 
가 존재) 
< 조 2 >- ㅡ 001 < 이 2 > 
@) 시 제 연 산 자 에 의한 천 이 시 변 수 와 시 간 은 변 
하지만 상 태 는 불변 
<452>-20<,2> 
6) 모든 <4.892>6< ㅅ ',,0> 는 <42,2'> 에 
후 속 하 는 1 노 드 를 가지고 있다. 
@ < ㅅ .$.0> 에 있는 모든 180 노 드 의 명 제 값 은 
모두 동 일 하다. 


6) 는 806 가 항상 일관성 있게 구 성 됨을 나타내고, 
69 을 816 노 드 를 86 노 드 에 서 와 같이 하 나 의 명제 
값 을 가지는 극소 개 체 로 간 주 함 을 나타낸다. 


(9) 노드 


(060) 에지 


그림 4. 69100 『『「0040[ (31801 


(그림 4) 에 서 보 듯 이 (는 유 한 개의 노 드 와 각 
노 드 를 연 결 하 는 에 지 로 구성된 단방향 그 래 프 이다. 
노 드 는 710160 074-08104108 로 표 현 된 논리 변수 ※×, 
와 시간 오 토 마 타 로 기 술 된 실시간 모 델 의 상태 8, 
그리고 해당 노 드 가 존재할 수 있는 시 간 의 범 위 를 
나타내는 시 간 영 역 , 의 쌍 으로 구성된 인 식 자 로써 
다른 노 드 들 과 구 분 된 다. 이 때 는 실 수 의 범 위 를 
가지는 밀 집 시 간 을 시 간 단 위 로 사 용 한 다. 각 노 드 는 
인 식 자 이외에도 노 드 의 특 성 을 나타내는 변 수 들 과 
0 이상의 후 속 노 드 와 연 결 되는 에 지 들 을 가진다. 변 
수 는 73146, 0006, 7686 00406@6 로 구 성 된 다 . 78106 는 
노 드 가 참 인 지 거 짓 인 지 를 나타내는 변 수 로써 [10060 
104-08104108 의 1160 ㅁ 0010[ 형 태 에 따라 16868 
11×60 001 까 에 속 하 면 참 으 로, 16866 11%60 ㅁ 001 까 에 속 


하면 거 짓 으 로 초 기 화 되며, 후 속 노 드 의 78106 에 따 
라 값 이 변 경 될 수 있다. 0006 은 18106 값 이 최종 결 
정 되어 값 이 발 수 없 음 을 나타낸다. 168[ 는 노드 
생 성 시 연 산 자 에 따라 최 대 로 가질 수 있는 후 속 노 드 
의 인식 요 소 들 을 가지는 집 합 이다. 즉 , 논 리 연 산자 
일 때는 , 의 논 리 변 수, 행 위 연 산 자 일 경 우 에는 모 
델 의 상태, 시 제 연 산 자 일 때는 노 드 가 가질 수 있는 
시 간 영 역 의 합 집 합 을 가지게 되며, 그 외의 연 산 자 일 
경 우 에는 후 속 노 드 가 존 재 하 지 않는 경 우 로 써 76&【 
는 공 집 합 이 된다. 1[*(; 에 후 속 노 드 가 하나씩 추 가 될 
때 마 다 68[ 중 하 나 가 추 출 되어 후 속 노 드 의 인 식 자 
에 전 달 된다. 6000@ 는 노 드 가 가질 수 있는 후 속 노 
드 의 최대 개 수 로써 초 기 화 되고 값 이 결정된 후 속 노 
드가 있을 때 마 다 1 씩 감 소 된다. 에 지 는 노 드 와 그 
후 속 노 드 들 과 연 결 되어 110160 0 ㅁ 14-08104108 의 연 
자 (00) 에 따른 상 관 관 계 를 나타낸다. 

802( 는 실시간 지 역 모 형 검사 알 고 리 즘 에 따라 생 
성 되고 초 기 노 드 가 값 이 결 정 되면 1406; 의 구 성 은 종 
료 된다. 최 종 적 으 로 구성된 [는 실시간 안전성 검 
증 및 실시간 필연성 검 중 을 위해 제 공 된 다. 


^ 


3.4 실시간 지 역 모 형 검사 
3.4.1 실시간 지 역 모 형 검사 알고리즘 

(그림 5) 는 본 논 문 에서 제 안 하는 시간 오토마타 
명세 모 델 과 10160 0 ㅁ 74-08104145 논 러 식 을 입 력 으 로 
하는 실시간 지 역 모 형 검 사 알 고 리 즘 이 다. 먼저 초기 
화 를 통해 실시간 안전성 또는 실시간 필 연 성 을 [160 
20010 계 산 법 에 따라 78× 블 럭 과 010 블 럭 으로 나누 
, ㅁ 72(; 의 초 기 노 드 를 생 성 하 며 , (의 노드 정보 
가지는 스택 구 조 의 참 조 변수 \, 지 , 20, 4, 11( 를 
초 기 화 한다. 는 #8(; 에 서 이미 탐 색 된 노 드 들의 집 
합 이며, 지은 탐 색 되 어질 노 드 들의 집합, 는 노 드 값 
이 결 정 되 었지만 전 속 노 드 의 값 이 결 정 되 지 않은 노 
드 들의 집 합 이고, 는 모든 후 속 노 드 의 값 이 탐 색 되 
었지만, 아직 값 이 결 정 되 지 않은 노 드 들 의 집 합 이다. 
80 는 실시간 필연성 검 증 시 7', 에 서 사 용 된 논 리 식 과 
시간 오 토 마 타 에서 사 용 된 클 럭 이 다를 경우 1, 클럭 
과 시간 오토마타 클 럭 과 의 변환 관 계 를 나타낸다. 초 
기 화 가 완 료 되면, 1'-8×%010@ 에 서 초 기 노 드 의 값 이 
결정될 때 까지 17006559116&8[, 1060106\ ㅠ 8146, 17 ㅠ 0065912, 
버 0665510 프로세스 호 출 과 참 조 변 수 \, 4, 0, 4, 116 


0 빼 리 
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의 삽 입 / 추 출 과 정 을 통하여 81(* 를 구 성 하고 각 노 
드 의 변 수 를 결 정 한 다. 8026 구 성 이 완료된 후, 4; 
를 입 력 으로 검 사 를 통해서 명세 모 델 이 원하는 검증 
항 목 에 맞 는 지 를 확 인 한 다. 초 기 노 드 의 값 이 참 이 면 
명세 모 델 이 해당 검증 항 목 을 만 족 하는 것이고, 그 
렇 지 않으면 만 족 하지 않는 것이다. 


시 간 오토마타 0 숫 기화 
명 세 모델 


(31070008610 아 뽑 
임 20004000 들 


기 


: 710760 004- 
68104108 논리식 


테디: 


| 병 


그림 5. 실시간 저 역 모 형 검사 알고리즘 구 성 도 


(1) 초기화 

시간 오토마타 명세 모 델 과 실시간 안전성 논리식 
또는 실시간 필연성 논 리 식 을 입력 받아, 실시간 지 
역 모 형 검 사 알 고 리 즘 의 초 기 화 를 수 행 하는 과 정 으 
로 블 럭 초 기화, 886 초기화, 참 조 변수 초 기 화 로 나 


1: 브 
으 


넌 다. 


레테 
시 간 오토마타 
명 세 모델 40} ㅜ 


블 럭 초기화 


실시간 ㅣ 싫 시간 

안전성 ㅣ 필연성 
초기화 ㅣ 초기화 
606 초기화 


참 조 변수 


초기화 


- 가 700 011- 
62164148 (8) 


그림 6. 실시간 지 역 모 형 검사 알 고 리 즘 의 초기화 과정 


블 럭 초 기 화 는 사 용 자 로부터 원하는 검증 대상인 
시간 오토마타 명세 모 델 과 검증 항 목 을 입 력 받 아 , 
[, 논 리 식 의 각 각 의 명 제 적 변 수 를 8<60 0010 계산 
법 에 따라 ㅁ 8*× 블 럭 과 207 블 럭 으 로 나눈다. 명 제 적 
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변 수 가 07686696[11%60 0017[ 에 속 하 면 222 블 럭 으 로, 
1689 8×%60 0010[ 에 속 하 면 0010 블 럭 으로 나누어 논 
리 식 을 블 럭 화 한다. 

명세 모델 내의 임 의 의 상 태 에 서 논리적, 시간적 
정 확 성 이 결 여 되어 천 이 가 발 생 하지 않는 01060 
0680100( 이 나 상 태 의 부 분 집 합 만을 무한히 반 복 하는 
10060 116100【 의 존 재 를 확 인 하 기 위한 실시간 안전 
성 7, 논 리 식 은 “1?.7[-] 보 ^ ㅅ (07 ㅋ <->%)" 
이다. 이 때 극 소 명 제 6 는 초 기 상 태 만 이 만 족 한 다. 
다 음 은 실시간 안전성 초기화 과 정 을 통해 블 럭 화 된 
실시간 안전성 7, 논리식 803,+ ㅁ 807 이 다. 


1206 주 7770 저 0 = 1 ^ 0 


167 바 전 = 70700. 뼈 00 


즈 1 = 73 7 
※×5=[-]※0} 즈 5 ㅋ = 크 6 
6 ㅋ = <->%20} 


명세 모델 내 에 서 행위 4027 이 발생한 후 시 간 제 약 
00776< 를 만 족 하 면서 행위 402 가 발 생 하 는 지 를 확인 
하기 위한 실시간 필연성 7, 논 리 식 은 “1. 
[06007]2.( / ×, ㅋ <0 아 225207700'7 ㅋ <->※×) ~ 누 [-] 로 " 
이다. 다 음 은 사 용 자 로부터 2027, 042, 0077766 를 입력 
받아 실시간 필연성 초기화 과 정 을 통해 블 럭 화 된 
실시간 필연성 7, 논리식 808,782>07 이 다. 


020 므 77220 = 제지 이 22%2 흔 72202(16 = 77 28 
= ~ 7 = ㅋ ㅋ 9 
= 7 0 = <002>※0 
= [4007] 10 = 10760 
×=[-]※0 = ㅋ 11 
× ㅋ = >} ×1=<->※6} 


의 초 기 변수 ※6, 47 의 초 기 상 태 5; 그리고 클럭 
[가 0 인 시 간 영역 의 쌍 으로 이루어진 초 기 노 드 를 
생 성 하여 27( 를 초 기 화 하고 참 조 변수 , 제, 2, 4, 
(를 어떠한 노 드 도 가지지 않은 공 (600[*) 의 상태 
로 초 기 화 한 다. 


(2) 뷰 [- 따 0! 프로세스 
(입력) 시간 오토마타 명세 모델 4, 1`, 의 블 럭 화 된 
논리식 8 
(출력) 최종 62 


20066558 727'-2000/0016(47, 2) 
/0 를 [와 에 추가 
\116 / 수 / 시 (7//./, …………… 니 이 이 이 이 이 아 이 이 아 이 이 에 이 이 6 


1: =16 다 (20) // 지의 첫번째 노 드 를 에 입력 

270009577657(/) 

타가 최 종 노 드 인 경우 하 60 ………… 00 
72000062006(2) 


0076(():=006 // ? 의 값 이 결 정 되 었 으 므로 
0006 은 참 / 를 에서 로 이동 
2270065522 

0166 하 00726(7) 하 1@0 ㅁ …… 아 아 아 이 어 어 아 사 아 아 아아 3) 
에서 탐 색 되지 않은 후 속 노 드 가 존재 46 ㅁ 
의 후 속 노드 \ 를 선택 
6 \ 가 \ 에 존 재 하 지 않는 경우 160 

\ 를 <, 과 (에 추가 

:-*\ 로 에 지 를 연결 

6186 // 의 모든 후 속 노 드가 탐 색 됨 
를 에서 (/ 로 이동 


/ 를 싸 에서 제거 _ // 의 값 이 결정된 경우 
1 싸이 600055 07 2/ 수 20900) 14060 …… @ 
// 이 비 여 있거나 의 블 럭 과 의 첫번째 노 드 의 
블 럭 이 다를 경우 
2700655670) 
1660060 226 


600 05066565 


브 1-80×0!01@ 프 로 세 스 는 시간 오토마타 명세 모델 
^ ㅜ 와 의 블 럭 화 된 논리식 8 를 입 력 받 아 초 기 노 드 
:0 의 값 이 결정될 때 까지 2 ㅠ 00655168, 1060106\ ㅠ 3106, 
버 006992, 00655 프로세스 호 출 과 참 조 변수 \, 
제, 2, 4, 86 의 삽 입 / 추 출 과 정 을 통해 81[6 를 구성 
한다. 

먼저, 초 기 노 드 /0 를 \ 와 제 에 삽 입 하 여 지이 빌 
때 까지 (1> 을 수 행 한다. (에서는 지에 있는 첫번째 
노 드 를 [에 대 입 한 후, (가 가질 수 있는 후 속 노 드 의 
인 식 요 소 를 정하기 위해 ㅠ 00665868[([) 를 호 출 하여 
768【([) 를 설 정 한 후, 165[(0), 0006(1) 와 【 의 에지 유무 
에 따라 (3, @), @) 를 수 행 한다. (@) 는 [가 후 속 노 드 가 


없는 최 종 노 드 인 경 우 로써, 16006\3146(0) 에 따라 
[의 78106 를 결 정 하고 4006(0=1[746 로 설 정 한 후, [를 
지 에 서 로 이 동 하 여 ㅁ ㅠ 000991) 를 호 출 한 후 6) 를 수 
행한다. @ 은 후 속 노 드 가 존 재 하 는 [의 값 이 미 결 정 
노 드 인 000600 추 ㅁ 06 경 우 로 써 , (에서 탐 색 되 지 않은 
후 속 노 드 가 존 재 하는지를 확 인 한 다. 만약 [에서 미 탐 
색 된 노 드 가 존 재 한 다면, 765((1) 에 따라 후 속 노 드 \ 
를 선 택 한 다. 이 때 \ 가 에 없는 노 드 라 면 \ 를 \, 
지 및 (에 추 가 하여 [에서 \ 로 에 지 를 연 결 하고, 
\ 가 \ 에 있는 노 드 라 면 [에서 \ 로 에 지 만 연 결 한 다. 
만약 [에서 탐 색 되지 않은 후 속 노 드 가 없는 경우 {를 
지 에 서 로 이 동 한다. 그리고 나서 (6) 를 수 행 한다. 
[가 @ 와 @) 에 해 당 되지 않을 경우 4) 가 수 행 되 는데, 
이때는 (의 값 이 결정된 경 우 이기 때문에 * 에 서 [를 
제거한 후 6) 를 수 행 한다. 6) 에 서는 지이 비 여 있거나 
[가 속한 블 럭 과 지의 첫번째 노 드 의 블 럭 을 확 인 하 
여 서로 다를 경 우 에 『7006580([) 를 수 행 한 

스택 구 조 로 되 어 있기 때문에 처음 에 들 어 갔 던 초 
기 노 드 {0 의 값 이 결 정 되 면 찌 은 비게 되므로, 01) 
종 료 하 고 최종 [를 출 력 한 다. 


때 6 


(3) 2000685[《69[ 프로세스 
(입력) 681 가 설 정 되지 않은 노드 | = <※,, 8 [01]> 
(출력) 68 가 설정된 노드 {= <※×, 8 []> 


12006658 7?7006957?0695/(7=<※×,, 5 |2]1>) 
98\1668 거의 ※×,-10060060 ㅠ 
096 수 건 렌 사가 구 아 아 다 나 세 ( 아 시 니 라 지 자 나 지아 01) 
나 2 이 60006 또는 재 설 정 된 경우 60 
76570) := 음 의 모든 시 간 제 약 의 합집합 


연 56 
765[(/) := 과 5 의 모든 시 간 제 약 과 의 합 
집합 
68296 [0] 0 [<0@27 0 0 아 아 아 아 아 아 아 아 아 마 아 아아아 0 


1 2 이 47 의 5 에 서 0 에 의한 시 간 제 약 을 
만 족 160 0 에 의한 5->*6' 
/^657(/) := 을" 


2186 
6570) := 페 01.1. 
02096 00 "부구 에 4 에 아 에 이 나 체 아 다 이 @@) 
7, 7 
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76980) := ※, 와 ※×, 


6896 “ 시 간 제 약 극 소 명 제” ..………………… @2 
※×, 의 시 간 제 약 극 소 명 제 를 교과 \( 에 따라 
변경 
”69/(0) := 페 01Ｌ 

23986 (628 아 나 리 에 자 라 아 사 너 에 네 아 대 메 나 아 니 에 이 66) 
ㅠ 을 11(; 에 추가 
7 
76960) = 

건이 나 메 아 거 아 아 에 하 라 이 어 이 이 애 버 어 에 시 새 거 @0 
76907) := 제 01.1. 

66070 7 


600 20 ㄷ 06665 


120006559868[【([) 프 로 세 스 는 후 속 노 드 의 인 식 요소 
를 위한 769[ 설 정 을 위해서 노드 (= <※1, 5 [ ㅁ ]> 를 
입 력 받아, 766[(0) 를 ※1 의 연 산 자 에 따라 설 정 한다. 
7696(00 는 뮤 1-0×%006 에 서 탐 색 되 지 않은 후 속 노 
드 를 선 택 하여 870 에 추 가 할 때 사 용 되 는 노드 변 
수 이 다. 


시 제 연 산 자 인 경 우 로써, 만약 시 간 영역 묘 이 비 어 있 
거나 재 설 정 되 었 다 면 (=0), 상태 8 에 서 천 이 할 수 
있는 모든 시 간 제 약 들의 합 집 합 으 로 168[([) 를 설정 
한다. 그렇지 않다면 시 간 영 역 과 에서 천 이 할 수 
있는 모든 시 간 제 약 들 과 의 합 집 합 으로 765[() 를 설 
정한다. @) 는 연 산 자 가 행 위 연 산 자 인 경 우 로써, 만약 
시 간 영역 이 행위 0 에 의한 천 이 의 시 간 제 약 을 만 
족 한 다면 8 에 의해 천 이 가 이루어지는 상태 8' 로 
165【([) 를 입 력 한 다. 그렇지 않다면 1769[([) 를 띠 01.1, 
로 설 정 한다. @3) 은 연 산 자 가 논 리 연 산 자 이기 때문에 
항상 두 개 의 후 속 노 드 를 가지게 되므로 ×1 의 우 변 에 
있는 논 리 변수 ×] 와 ※× 를 768[() 에 입 력 한다. 4) 는 
연 산 자 가 시 간 제 약 극 소 명 제 이 므로, ×1 의 시 간 제 약 
극 소 명 제 를 의 클 럭 과 (에 있는 클 럭 간의 시간 
관 계 에 따라 변 경 하 고, 765[([) 를 저 01Ｌ 로 설 정 한 다. 
69 는 연 산 자 가 시 간 재설정 연 산 자 이기 때문에, 을 
80 에 추 가 하 고 ×1 의 우 변 에 있는 논 리 변수 ×] 를 
768[([) 에 입 력 한다. 그 외의 연 산 자 에 대해서는 
765【(\) 를 제 01.1. 로 설 정 한 다 (@6. 
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(4) 1060106\8106 프로세스 
(입력) 78106 값 이 결 정 되지 않은 노드 : = <※×, 8 
[2]> 
(출력) 73106 값 이 결정된 노드 [= <※,, 6 1421> 


0606695 72600006702/146(7=<※×,, 6 [420]>) 
5\1660 2 의 ×,-*00612[07 
6866 “ ㅅ - 노 드 ” 인 연산자 ………… 니 이 00 

1 [의 후 속 노 드 가 존 재 하 지 않을 경우 4160 
007146(7) := [23166 

이 86 1 000176 가 거 짓 인 의 후 속 노 드가 존재 

4060 
10001446(7) = 23156 
이 66 14 감 소 시 킨 001002767(00) 가 0 460 


00/140(7) := 1206 


6856 “~- 노 드 ” 인 연산자 ………………………… 00 
의 후 속 노 드 가 존 재 하 지 않을 경우 4160 
1000226(7) := 18156 
이 66 다 70/866 가 참인 의 후 속 노 드 가 존재 
2226 ㅁ 


0071.6(7) := 1 ㅁ 06 
여 56 4 1 감 소 시 킨 0000276/(2) 가 0 0160 
00/446(2) := 3156 
6886 “ 극 소 명제” ………………………………………………………………………… @ 
1 : 가 극 소 명 제 를 만족 0160 
207276(7) := 12046 
인 56 
00/142.6(【) := 12156 
6856 “ 시 간 제 약 극 소 명제” …………………… @ 
0, := ※, 의 시간제 약 , \ 
// \ 는 의 전 속 노드 
1 (\)- ㅡ 00210 = " ㅅ - 노 드 " 연산자 내 60 
6 브이 (6, 에 포함 0060 
007006(/) := 1606 
6156 
00/246(7) := 18156 
이 96 6 쪼 (\)-+00678607 = “- 노 드 " 연산자 
타 1670 
4 표 이 (, 간 에 교 집 합 이 존재 060 
0002.6(7) := 1 ㅁ 06 
2166 


10071046(7) ：:= 23156 


6286 '1666【 이 이 네 이 이 이 아 에 미 미 마 여 에 여 이 시, 06) 
10071/6(《/) := 후 속 노 드 의 10706 
16670 7 
600 0006655 
0 브 


1060006\ ㅠ 3146(\) 프 로 세 스 는 731046([) 를 결 정 하 기 
위해서 노드 [= <×1, 5 [ ㅁ ]> 를 입 력 받아, ×1 의 연산 
자 에 따라 값 이 결정된 노드 {를 출 력 한 다. 이 때 연산 
자가 “ㅅㅅ”, “7, "인 노 드 를 “/.- 노 드 " 라 하고, 
티거 >" 인 노 드 를 “ ㅠ - 노 드 ” 라 한다. 

논 리 변수 ×1 에 해 당 하 는 연 산 자 의 형 태 에 따라 
07 0, @), 4, @ 를 각각 수 행 한다. 0) 은 가 “ ㅅ - 노 
드 "인 경 우 로써, 만약 [의 후 속 노 드 가 존 재 하 지 않 거 
나, 78106 가 거 짓 인 의 후 속 노 드 가 발 견 되면, 
78106(1) 를 거 짓 으로 설 정 한 다. 그렇지 않을 경 우 에 
0040660(!) 를 1 감 소 시 켜 그 값 이 0 이 되면 모든 후속 
노 드 에 거 짓 인 노 드 가 존 재 하 지 않기 때문에 
78106({) 는 참 으로 설 정 한다. (는 [가 “\- 노 드 ” 인 
경 우 로써, 만약 (의 후 속 노 드 가 존 재 하 지 않거나, 
78106 가 참인 [의 후 속 노 드가 발 견 되 면 , 73214601) 를 
참 으로 설 정 한 다. 그렇지 않을 경 우 에는 60446) 
를 1 감 소 시 켜 그 값 이 0 이 되면 모든 후 속 노 드 에 
참인 노 드 가 존 재 하 지 않기 때문에 73146(0) 는 거짓 
으로 설 정 한 다. @) 은 ×1 의 연 산 자 가 극 소 명 제인 경우 
로써, [가 극 소 명 제 를 만 족 하면 73146([) 를 참 으로, 그 
렇 지 않다면 거 짓 으 로 설 정 한 다. 4) 는 ×1 의 연 산 자 가 
시 간 제 약 극 소 명 제인 경 우 로 써 , 먼저 에 ×1 가 나타 
내는 시 간 제 약 을 입 력 하 고, [의 전 속 노 드 인 \ 를 찾 
는다. 만약 전 속 노드 \ 가 “ ㅅ - 노 드 " 이 면서 시 간 영 역 
표 이 에 포 함 되 면 , 731046([) 를 참 으로 설 정 하고, 그 
렇 지 않다면 73106(0) 를 거 짓 으로 설 정 한다. 전 속 노 
드 \ 가 “\- 노 드 ” 이 면서 시 간 영역 표 과 간에 교 집 
합 이 존 재 한다면, 8106([) 를 참 으로 설 정 하고, 그렇 
지 않다면 73106({) 를 거 짓 으로 설 정 한 다. 6) 는 ×1 의 
연 산 자 가 시 간 재설정 연 산 자 인 경 우 로써, (의 후 속 노 
드 78106 를 73106(0 의 값 으로 설 정 한 다. 


(5) 『 ㅁ 0006881) 프로세스 
… ㅡ 222 = 
120066565 7?7<0065577 

\016 72 ㅜ 71772. .…… 뇨 나 에 이 아 이 아 이 니 @ 


1-~00726(\) 1670 
7260000670/446(\) 
1 00076(\) 4160 
\ 를 에서 77 로 이동 
600 00066588 


27006591) 프 로 세 스 는 노 드 의 값 이 결 정 되었지만, 
그 전 속 노 드 의 값 이 결 정 되지 않은 노 드 를 참 조 변수 
에서 추 출 하여 전 속 노 드 의 값 을 설 정 하 기 위해 사 
용 된다. 참 조 변 수 1) 가 빌 때 까지 계속 수 행 하게 되는 
(0) 에 서는 에 있는 노드 [를 추 출 하 여 (@: 를 수 행 한 
다. (는 [의 전 속 노 드 인 모든 \ 에 대해서 00060\) 
가 거 짓 이라면 26006\3106([) 를 호 출 하여 값 을 설 
정한 후, 00060\) 가 참 이 되면 \ 를 지 에 서 로 이동 
하여 (』> 을 반 복 한 다. 


(6) 『7006551 프로세스 
(입력) ㅁ [-8×006 에 서 의 현 재 노드 (= <※,, 5 [2]> 


2006655 /77"700655(/(7) 


\0146 2369400=7 이 고 (7072.24. 이 00 
(/ 에 서 \ 를 추출 
함 --020726(\ ) 하 16 대 ……… 아 어 아 이 어 어 아 다 아 아 아 아 이 이 02) 


020776(\):=1 ㅁ 06 

\ 를 7) 에 추가 

2270005572 
600 0 ㅁ 00685 


0006560(1) 프 로 세 스 는 ㅁ 1-×2010@ 에 서 현재 
노 드 인 [를 입 력 받아, 모든 후 속 노 드 를 탐 색 했 지만 
값 이 결 정 되지 않은 노 드 들의 값 을 결 정 한 다 . 참 조 변 
수 의 첫번째 노 드 의 블 럭 과 현 재 노드 [의 블 럭 이 
일 치 하 고 가 비 어 있지 않다면 (1) 이 하 를 반 복 한다. 
ㅁ 에 있는 노드 \ 를 추 출 하 여 (를 수 행 한 다. <2/ 에 서 
는 00060\) 가 거 짓 이 라면 00060\) 의 값 을 참 으로 
설 정 하고 \ 를 에 추 가 하여 27006551) 를 수 행 한 후 
. 으 


반 복 한다. 
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(7) 검사 

기 본 적 으로 지 역 모 형 검 사 에 서 는 초 기 노 드 의 값 
에 초 점 을 두기 때문에, (그림 7) 에 서 처 럼 816 를 입 
력 으로 하여 초 기 노 드 의 73106 의 값 이 참 인 지 거짓 
인 지 에 따라 시간 오토마타 명세 모 델 이 검증 항 목 인 
실시간 안전성 및 실시간 필 연 성 을 만 족 하는지를 확 
인 한 다. 자세한 검증 결 과 는 실시간 안전성 검사 및 
실 서간 필연성 검 사 를 통해서 확 인 한 다. 


싫 시 간 필연성 
겸사 


그림 7. 『 ㅁ [ㅇㅇ 검사 프로세스 


(160 _82[66 프로세스 
(입력) 8826 
(출력) 76941[ 


1)10665858 (./260<_50601( 트 (7) 
#08( 의 초 기 노 드 를 /0 에 입력 


다 -00/146(70)=17046 타 6@0 ………0 아 아 아 아 아 아 아 아 아 아 이 0) 
7"691/0/ := 1 ㅁ 106 
ㅇ 6166 ㅇ …900 이 0 시 디 이 이 디 디 이 이 이 시 시 디 시 이 디 000 지 이 시 시 이 이 디 이 000006 기 디 000000000000 02 


76910; := 13166 
10『 1(6 의 모든 노드 에 대 해 서 060 …'@) 


다 ※×(/)=6 인 00/046(7)=3166 14060 …… @0 
1 6086(/) 가 없고, ×(7)=1 인 00/46(/)=【2166 
1060 
3(/) 는 068010 상태 
0166 


3(7) 는 11610 상태 
인 66 4 ()=3 인 000076((/) 카 2156 14060 …(6@) 
8(7) 는 0680100( 이 면서, 1176100 인 상태 
16600 76917 


600 0 ㅁ 006685 


(160 _52166(08026) 프 로 세 스 는 68861 를 입 력 으 
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로 받아 시간 오토마타 명세 모 델 이 실시간 안 전 성 을 
만 족 하는지를 확인할 때 사 용 된다. 

의 초 기 노 드 를 00 에 입 력 한 후, (1〉 을 수 행 하여 
?78106([0) 가 참 이 면 검증 결 과 는 참 이 되어 프로세스 
를 종 료 하고, 78106(00) 가 거 짓 이 면 @@) 로 가서 검증 
결 과 는 거 짓 이 되고 @) 을 수 행 한 다. [의 모든 노 
드 에 대해서 ※(0=6 (%6=<->※2) 이 고 7814600= 
18156 인 노 드 를 탐 색 한 다 @). 만약 탐 색 된 노드 중에서 
에 지 가 없고 ※(0=1 (%1=\※3) 인 73146(0=【8186 라 
면 , 6([) 는 실시간 0630100 이 발 생 하는 상 태 이고, 그 
렇 지 않을 경 우 에는 실시간 176100( 이 발 생 하는 상 
태 이 다 . (6) 는 ※(0=3 (×3=[-]※0) 이 고 72146([)=[8196 
인 노 드 를 탐 색 함으로써 4) 에 서 검 출 되지 않았던 실 
시간 0680100< 이 면서 1176100 인 상태 5({) 를 검출 


한다. 


(160 _11760688 프로세스 
(입력) 22, 사용자 입력 (300, 8062, 1410460) 
(출력) 16541 


120006655 (./200(_7/.1060/10659(17?11(7) 
107 1406 의 모든 노드 에 대 해 서 0260 ㅁ 

16 ※()=4 이 고 00/426()- 리 56 4060 ……- 0) 
3(00) 는 10586 상태 

이 56 14 ×()=9 이 고 00/146(0)=【3166 10460 2 
ㅎ (2) 에 서 0027 발생 후 002 가 7207166 를 만 족 하 
여 발생할 수 없음 

여 86 모든 ※(7)=9 에 대해 00/046(/)= ㅁ 146 04260 


3(/) 에 서 007 발생 후 4042 가 /17776< 를 만 족 하 
여 발생 


1660060 ㅁ 77691 


600 0 ㅁ 06668 


(1606.1.176068500(61) 프 로 세 스 는 실시간 필연 
성 초 기 화 에서 사 용 자 로부터 입력 받았던 4004, 802, 
ㅁ 001606 와 (를 입 력 으로, 시간 오토마타 명세 모델 
이 실시간 필 연 성 을 만 족 하는지를 확인할 때 사 용 된 
다. \826 의 모든 노드 {에 대해서 만약 ※×(0=4 
(%4=[-]※2) 이 고 73146(0=【3156 인 노 드 가 검 출 되 면 , 
5([) 는 실시간 안 전 성 을 만 족 하지 않는 경 우 이므로 


실시간 필 연 성 의 만 족 여 부 를 확인할 수 없다. 그렇 
지 않고 ※(0=9 (※%9=<802>※10) 인 73146([ ㅁ 02196 
라면, 상태 5({) 에 서는 행위 3001 이 발생한 후, 행위 
802 가 시 간 제 약 07066 를 만 족 하 는 시 간 영역 내 에 서 
결코 발 생 하지 않 음 을 나 타 낸 다 (2:. 논 리 변 수 가 ※(0)=9 
(※×9=<830[2>※10) 인 모든 노 드 에 서 인 3146([)=\7206 
라면, 상태 5(1) 에 서는 행위 3011 이 발생한 후, 행위 
80[2 가 시 간 제 약 47760 를 만 족 하는 시 간 영 역 내 에 서 
발 생 함 을 나 타 낸 다 @). 


3.4.2 실시간 지 역 모 형 검 사 적용 예 

시간 오 토 마 타 로 명 세 한 실시간 시 스 템 은 실시간 
지 역 모 형 검사 기 법 을 사 용 하여 논리적 정 확 성 뿐만 
아니라 시간적 정 확 성 을 검 증 할 수 있다. 본 소 절 에 
서는 실시간 지 역 모 형 검 사 가 시 간 의 무 결 성 을 입증 
할 수 있 음 을 예 를 통하여 증 명 한다. (그림 8) 은 시간 
오 토 마 타 로 명 세 한 실시간 시스템 모델 (3) 와 Ｌ,, 로 
기 술 된 검 중 하 고자 하는 명 제 인 논리식 (6) 를 770 


블 록 과 7701 블 록 에 따라 구 분 하여 나타내고 있다. 
여 @, [6=1 이 9 
2, [6620, :=0] 


(8) 시간 오토마타 명세 모델 


2900 =7720 저 0 ㅋ 지요 흐 72202(2 = 시 4 5 | 


× 주 이 ×4 - ㅠ 
= [-]※6 } 6 = 그 26 
6= ㅋ <->※0 } 


2 보 .7[-] 도 (※73<~>※) 


(6) 7710060 004- ㅇ 0810 비 108 논리식 


그림 8. 실시간 시스템 모 델 과 명제 논리식 


(06) 의 논 리 식 을 살펴보면, 시스템 모델 (3@) 의 안전 
성 을 검 중 하 기 위해서 0680100 이 나 176100 이 있는 
지를 행위 측 면 과 시간 측 면 을 모두 고 려 하 여 확 인 하 
고자 하는 실시간 안전성 논 리 식 이다. 따라서 실시간 
지 역 모 형 검 사 를 수 행 하 여 시스템 모델 (3) 가 (6) 에 서 
제 시 한 실시간 안 전 성 을 만 족 하 는 지 를 확 인 한 다. 노 
드 의 좌측 상 단 에는 60006, 우측 상 단 에는 결정된 
8106, 노 드 의 색 깔 은 0006 을 나타내며, 에 지 의 라벨 
은 노 드 와 후속 노 드 간의 연산 관 계 를 나타낸다. 


[단계 1] 초기 노드 <※6,50]> 를 생 성 하 여 후 속 노 

드 를 찾아 에 지 를 구 성 하고 <※1,501]> 가 시 제 연산자 
이므로 시 간 영역 규 칙 을 적 용 하 여 제 약 된 시 간 영역 
을 가지는 후 속 노드 <※|,50 [(<10]> 를 생 성 한다. 


^ 기 


{<※0900]> <%15800]> <※%8,50.6<10]>} 
{<※60,500> <※%,50]> <※%3,850[6<10]>} 
={}0={} 


더 웅 죽 
1 기 


[단계 21 <※,,507<10]> 가 행 위 연 산 자 이므로 시간 
영역 규 칙 을 적 용 하 여 천 이 가 가능한 0 를 찾아 에지 
구 성 한 다 . <※4,5117/<10]1> 과 <※%3.51[10 흐 7<20]> 
# 에 의한 천 이 가 발생할 때 클럭 / 가 재 설 정 되 기 
때문에 이미 구성된 노 드 인 <※0,50]> 로 에 지 를 구성 
한다. <※,81[7<10]1>, <※%4.5116<10]1>, <%3.51[10 드 
《<20]> 는 후 속 노 드가 모두 탐색 되었으므로 \ 에 서 
로 옮긴다. 


다 


부적, <%0591<10]1> <811[6<10]1> <%3,5116<101> 


<%881[10 흐 <201>} 
이 < 51610] 1> 50 


12 니 


0), 0 이 <8110 으 201> 
<×81[610]1>} 


[단계 3] 현 재 노 드 인 <※6,51[《<10]> 과 지의 첫번째 
노 드 인 <※5,51[7<10]> 은 다른 블 록 에 속하는 노 드 이 
므로 /700095(/(<※0,5,[7<10]1>) 를 수 행 하 여 에 있 
각 각 에 대한 


는 노 드 의 초 기 치로 값 을 결 정 하 고 
수 행 한 다. 


/27000557)2 를 


= 0 <※%65116<10]1> <※51[6101> <%3.5116<101> 
 <36951110 측 (<00]1> <%0516<10]3 
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[단계 4] <※4511《<10]> 의 값 이 거 짓 으 로 결 정 되 어 
/27000557) 를 수 행 하 지만 전 속 노 드 인 <※2,5117<10]1> 
이 “?- ㅁ 0006" 이므로 60004[67 를 1 감 소 하 여 또 다 른 
후 속 노 드 인 <※5.51[(<10]> 을 찾아 에 지 를 구 성 한 다. 
<※%681[/<10]1> 의 후 속 노 드 인 <※6,511(<10]> 을 찾아 
에 지 를 구 성 하고, 그 후 속 노 드 인 <※2.500]1> 에 서 
<※/,500> 로 에 지 를 연 결 시킨다. <※%1,5001> 가 극소 
명제 ㅠ 를 만 족 하므로 값 을 참 으로 결 정 하 여 
/70065597) 를 _ 수 행 하 게 되면, 그 전 속 노 드 들인 
<×681[6<101>,  <%85167<10]1>, <%651[7<10]1>, 
<※×3.506<101>, <※1,50]1> 의 0000@ 도 모두 0 가 되 
어 값 은 참 으로 결 정 된 다 . 


ㅠ ={ . <× 이 [10]> <658166<101> <※6511[<10]1> 
<※×280]> <※×158001>} 


[단계 5] <※×60,50[]> 의 또 다른 후 속 노 드 인 <※2,50.]> 
는 이미 탐색 되었으며 값 이 참 으로 결 정 되 었기 때문 
에 60040@ 는 0 이 되어 <※0,50[]> 의 최 종 값 은 참 이 
되고 전체 과 정 을 종 료 한다. 


부 적 <※×0680]1> <,500> <※3.506<10]1> <%※%051[6<10]> 
< 8101> <※%4511<101> <%851110 흐 <20]> 
<※×3681[<10]1> <※46816<101> <%55116<101> 
<366.9116<101> <※×8800]> <×4801]1>} 
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그 0={ } 


위 예 에서 보 듯 이 초 기 노 드 의 값 이 참 이 므로 (그럼 
8. 3) 의 시스템 명세 모 델 은 (6) 의 실시간 안 전 성 을 


4. 결 론 


본 논 문 에 서 제시된 실시간 지 역 모 형 검 사 는 형식 
검증 기 법 에 기 반 을 두며, 시 스 템 의 행위 측 면 을 시 
간 오 토 마 타 로 기 술 한 시스템 모 델 이 10160 10014- 
08164108 로 표 현 된 시 스 템 의 특 성 을 만 족 하 는 지 의 

부를 실시간 지 역 모 형 검 사 기법 제 시 를 통해 시스 
템 명 세 의 완 전 성 을 확 인 하 였다. 또 , 비록 전역 모형 
검 사 에 비해 과 정 이 다소 복 잡 하지만 불필요한 노드 
구 성 과 노드 분 할 을 격리 65 도어 검증 던 
하고 컴퓨터 자 원 을 점 ; 

멀티미디어 서비스 및 실시간 시스템 구현 과 정 에 
서 실 시 간 적 요 구 사 항 을 시간 오 토 마 타 로 명 세 화 하 
고 명 세 화 를 거친 명세 모 델 이 요 구 사 항 과 일 치 하 는 
지 구 현 전 에 확 인 하 는 실시간 검 증 기 구 현 에 본 논문 
에서 제시된 알 고 리 즘 과 방 법 론 을 적 용 하면 실시간 
검 증 에서 야 기 되는 상 태 폭 발 문 제 를 해결할 수 있어 
효과적인 실시간 검 증 기 구 현 이 가 능 하 다. 그러나 실 
시간 프로토콜 시 스 템 의 크 기 가 너무 클 경 우 에 는 
제 안 된 지 역 모 형 검 사 만으로는 상 태 폭 발 문 제 를 해 
0 역 부 족 이다. 따 레이 제 안 된 기 법 과 기 
원 


[1 ] 600601 1. 440504011020, 69170100116 70006! 아 1600008, 
떼 10\6『 2&6866016 041211997615, 10061 01601008, 
1996. 

[2] 2. 부 . 00001 300 . ㅇ . 그, "“00 파 0008006 


66008 이 06000] 506010108000 85 Ｌ3106160 
그 78091000 857586601", 1016610 ㅁ 00008) \006681100 
00 17060001 11686 5756601, 1\021168'95, 00.143- 
158, 717, 08006, 3610[610411)6 ㄷ 6, 1995. 
[3] 박 용 범 , 김태균, 김 성 운 , “1.18 명세 검 증 을 위 
한 모델 검 증 기 개발” 한 국 정 보 처 리 학 회 논 문지 
5 권 4 호 , 1998.4 
바 . (01687 ㅋ 61300, 11. 1)7612041166 800 2.81660, 
"39667 110061- 아 1601008 101: 0416 40081 50404- 


(13104105. 


[4 


1000 


, 그 6 60068 10 170066010858 0[ 06 
1992 \006919100 00 (>01020416"- 스 1060 투 60168- 
0100, 1.6060466 퍼 0668 10 (6010004666 580616066. 

01605600, 트 . 스 . 300 ((.1.. 1.61, " 때 0 어 606 1006! 
(16000 음 10 바 088700600[6 아 다 6 캐 000510 ㅁ 0181 


1 


116-(>81614108. , 27066601085 이 타 06 176【 음 510- 
2051414 080 1.0816 10 (10404166 5016006, 267- 
278, 1986. 

[6] 트 214 800 2. ㄴㄴ. 211. "16 타 6007 아 01060 
83460002868 , [160060081 (0020004 5 어 ., 126(2), 
1994. 

[7] 고. ^. 260210860, 초 . 펠 160010, ]. 82109, 800 
등. 노 07106. 870160116 14006! 아 16010 107 7621- 
006 525662008 , 1010110811070 3400 (>01040413000, 
111(2), 1994 

[8] 묘 214 300 그. ^. 버 602008. 08165 800 
1000616 01 1621 10006: 스 54176. 10 브 681-07006: 
26077 10 080006. Ｌ 께 (05 600, 1991. 

[9 ] 0168 50601, " 터 1101606[ (7827-108560 스 160- 
01028 16 1006 ( 다 16010708 10 타 16 10021 1704 - 
081604148 ", 바 1.120 그 116919, 4701. 아 비 6\ 쪼 00 
357. 1996. 

110] 26614000 20000, 00817 10. 50061, "460606021 
611. 40061 (41600008 48108 2120 8412660006", 
1200066010@5 01 0416 35041 800481 00101676006 07 
1069180 8 비 010081000 00016146006, 200.457-462, 
1998 
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